Ein Konsortium aus fünf Wissenspartnern aus der deutschen Industrie und Forschungslandschaft – genua GmbH, Bundesdruckerei GmbH, D-Trust GmbH, CompuGroup Medical Deutschland AG und Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC) – hat im Herbst 2023 ein Feinkonzept vorgelegt. Die Herausforderung besteht darin, eine nutzerfreundliche und robuste Zugangsarchitektur auf Basis des IT-Sicherheitsparadigmas „Zero Trust“ für 200 000 Leistungserbringer:innen und 80 Millionen Versicherte zu entwickeln, wobei der klare Fokus auf dem Schutz personenbezogener Daten und der Datensouveränität im Gesundheitswesen liegt.
Eine Zero-Trust-Architektur ist ein Sicherheitskonzept, bei dem jeder Zugriff auf Ressourcen und Daten im Netzwerk grundsätzlich überprüft und autorisiert wird, unabhängig von der internen oder externen Position des Nutzenden oder des Geräts. Dabei wird davon ausgegangen, dass keine Benutzerin, kein Benutzer und auch kein Gerät automatisch vertrauenswürdig ist und daher immer überprüft werden muss.
Nach den Vorstellungen der Verantwortlichen soll die Technik dazu beitragen, die Telematikinfrastruktur im Gesundheitswesen nutzerzentrierter, mobiler, robuster und wirtschaftlicher zu gestalten. Das vorgestellte Feinkonzept einer Zero-Trust-Architektur soll eine granularere und flexiblere Durchsetzung von Sicherheitsmaßnahmen, auch in mobilen und verteilten Umgebungen, gewährleisten. Daten sollen selbst bei Zugriff über das offene Internet und private Endgeräte durch eine dynamische Überprüfung von Nutzerinformationen, Geräten und Kontexten geschützt werden. Die gematik beabsichtigt, etablierten Zero-Trust-Konzepten zu folgen und anerkannte offene Standards einzusetzen.
Der Einsatz von ZTA ist nicht neu, da immer mehr Unternehmen bereits damit arbeiten, um unzulässigen Zugriff auf Daten vorzubeugen. Allerdings wurde sie bisher lediglich innerhalb eines Konzerns genutzt. Der Ansatz, diese Technik über Firmengrenzen hinweg für mehrere Hunderttausend Unternehmen einzusetzen und in ein Zero-Trust-Netzwerk zu integrieren, ist neu und ruft Skeptiker:innen auf den Plan. Ihre Kritik lautet, dass das ehrgeizige Unterfangen die Entwicklung neuer Lösungen erfordern wird, die speziell auf das deutsche Gesundheitswesen zugeschnitten sind, und deren Implementierung nicht ohne Friktionen vonstattengehen wird.
Es steht fest, dass das Vorhaben auf die üblichen Hindernisse stoßen wird – fehlende Standardisierungen und mangelnde Produktverfügbarkeiten. Dies ist den Verantwortlichen ebenfalls bewusst. Das BSI hat in einem entsprechenden Positionspapier klargestellt: „Eine ganzheitliche, wirksame Umsetzung von Zero-Trust-Prinzipien ist ein langfristiges Vorhaben und erfordert einen ebenso hohen wie dauerhaften finanziellen sowie personellen Ressourcenaufwand.“
Als eines der größten Hindernisse macht das BSI die unzureichende Interoperabilität aus. Außerdem sind eine detaillierte Dateninventarisierung und das Wissen über notwendige Datenkommunikation Voraussetzungen für eine erfolgreiche Integration. Ohne diese Grundlagen besteht die Gefahr, dass Integrationsansätze scheitern und die IT-Sicherheit negativ beeinflusst wird, so die Behörde. Eine nicht ausreichend auf die Geschäftsprozesse abgestimmte Integration kann sich auch negativ auf die Arbeitsabläufe und die Produktivität auswirken. Zero Trust soll eine feingranulare Zugriffssteuerung auf Anwendungen und Daten zulassen, die in den Anwendungen selbst und durch andere IT-Komponenten erfolgen kann. Dafür wird es aber erforderlich sein, Anwendungen und Protokolle anzupassen.
Geht es nach der gematik, sollen mit Zero Trust bestehende Sicherheitsanwendungen in die Moderne geführt werden. Kritiker:innen führen an, dass die Technik dabei eher hinderlich sein könnte. Zum Beispiel, wenn für die Authentisierung auch Smartphones genutzt und in ein umfassendes Nutzer-Gerätemanagement je Praxis eingebunden werden müssen. Das würde Folgekosten für den Kauf neuer Geräte mit sich bringen. Außerdem muss dann sichergestellt werden, dass diese den damit verbundenen Sicherheits- und Hygieneanforderungen gerecht werden. Hinzu kommt, dass eine möglicherweise mehrfach pro Tag durchzuführende Authentisierung zusätzliche Handgriffe erfordert, die den Arbeitsfluss der Nutzer:innen immer wieder unterbrechen. „Da ist bürokratischer Mehraufwand vorprogrammiert“, kritisiert Mark Langguth, E-Health-Berater und TI-Experte.
Die gematik wirbt mit mehr Flexibilität für die Nutzenden, weil diese orts- und zeitunabhängig auf die Dienste der TI 2.0 mit ihren eigenen Endgeräten zugreifen können. Grundsätzlich wäre dies jedoch auch ohne ZTA möglich. Langguth sieht in der praktischen Umsetzung auf die Anwender:innen mehr Probleme als Nutzen zukommen. Beispielsweise, wenn Einrichtungen infolge von Fehlalarmen ausgeschlossen werden. „Es stellt sich die Frage, wie lange es dann dauert, bis sie wieder Zugriff erhalten. Wer kümmert sich darum? Im schlechtesten Fall könnten die Praxen einige Tage quasi stillstehen.“
Holm Diening, CSO der gematik GmbH, kennt die Kritik, sieht aber keine größeren Probleme auf die Nutzer:innen zukommen. „Zero Trust ist heute Standard. Es geht darum, digitale Identitäten von Versicherten und Ärzt:innen für den Zugang zur TI 2.0 zu nutzen und diesen mittels Zero-Trust-Maßnahmen abzusichern.“ Einschränkungen bei der Usability befürchtet er nur, wenn die Architektur in Form eines „Big Bangs“, also sofort und vollständig implementiert würde. Das sei allerdings nicht geplant.
Vielmehr soll der Prozess schrittweise ablaufen. Den Anfang sollen die Versicherten machen. Der Grund: Für sie stehen digitale Identität sowie eine eindeutige Zuordnung von diesen Identitäten und den dafür registrierten Endgeräten bereit. Außerdem sind bereits Teile dieser Mechanismen umgesetzt, die den Zugriff auf bestimmte Dienste wie etwa die ePA kontrollieren. Mit der TI 2.0 sollen nun diese Vorgaben standardisiert und ein einheitlicher Trust Client entwickelt werden, der die Kommunikation zwischen Endgerät und Dienst mit den Zero-Trust-Maßnahmen vereinheitlicht.
So viel zu den Versicherten, aber auch Ärzt:innen müssen keine Einschränkungen in Sachen Usability befürchten, so Diening. Künftig soll die Identität der Ärztin oder des Arztes beim Anmelden im PVS-System und die Identität beim Anmelden für die TI die gleiche sein. Möglich wird das durch die Zero-Trust-Architektur, die eine Kopplung der digitalen Identität mit dem PVS-System und in der Folge den direkten Zugriff auf E-Rezept und ePA ermöglicht. Diening schlussfolgert: „Es wird also einfacher.“
Für die Leistungserbringer:innen steht derzeit noch keine elektronische Identität inklusive einer Möglichkeit zur elektronischen Signatur zur Verfügung. Das soll sich aber ändern. Für das erste Halbjahr 2024 ist der Start eines Pilotprojekts zur Erprobung von Fernsignaturen ohne HBA geplant. Die TI 2.0 soll Nutzeridentitäten nicht über einen zentralen Dienst verwalten, bei dem alle Daten zentralisiert sind. Stattdessen soll ein föderiertes Identitätsmanagement eingesetzt werden, das aus verschiedenen branchenspezifischen Identity Providers (IDPs) besteht.
Befürchtungen, immer wieder Besitz- oder Wissensfaktoren nachweisen zu müssen, will Diening ebenfalls zerstreuen. Nutzende müssten sich erst dann noch einmal mit einem zusätzlichen Faktor authentifizieren, wenn Zweifel bestehen, weil sie sich beispielsweise in einem anderen Land im System anmelden oder ein anderes Endgerät verwenden. „Security und Usability sind keine Gegensätze. Gute Sicherheit bleibt im Hintergrund und wird nur dann sichtbar, wenn es wirklich notwendig wird.“
Die schrittweise Einführung der ZTA soll dazu beitragen, erste Kinderkrankheiten zu erkennen und Fehler im System frühzeitig zu beheben. Deshalb sieht Diening keinen Grund zur Sorge vor unerwünschten Szenarien wie dem Ausschluss ganzer Einrichtungen oder Praxen von der TI. „Wird zum Beispiel eine Softwareschwachstelle bei einem Endgerät bekannt, stellen wir uns erst einmal Fragen wie: Welche Informationen haben wir und welche Auswirkungen hat das Problem? Wen betrifft es – Versicherte oder Leistungserbringer:innen, und reicht zunächst eine Warnung aus? Und bei Zweifeln an der Identität der Leistungserbringer:innen kann man eine stärkere Authentifizierung anfordern bevor jemandem der Zugang verweigert wird. Das ist doch gerade der Vorteil von Zero Trust, man kann verschiedene Stufen einbauen.“
Diening weist Kritik, Deutschland würde mal wieder einen eigenen Weg gehen, was sich in der Vergangenheit nicht unbedingt als vorteilhaft herausgestellt habe, zurück. „Die halbe Welt spricht von Zero Trust. Wir bauen hier nichts Eigenes, sondern folgen einem Industriestandard, der schon längst etabliert ist.“ Er gibt zu, dass es Anwendungsfälle geben wird, wie im Falle großer Krankenhäuser, bei denen man von der reinen Lehre des
Zero Trust abweichen muss. „Hier werden wir Vertrauensstellungen gegenüber den Identity- und Access-
Management-Systemen der Krankenhäuser aufbauen müssen.“ Aber zu einer buchstabengetreuen Umsetzung des Zero-Trust-Standards in die gesamte Infrastruktur des Gesundheitssystems, die vor lauter Datensicherheit die Usability opfert, soll es nach Diening nicht kommen. Also sind es alles nur Alarmrufe, oder sind sich die beiden am Ende doch noch einig? Letztendlich wird das wohl nur die Zeit zeigen.